В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Точки над Ё

02.05.24

Интеграция - Облачные сервисы, хостинг

В одном из лучших руководств администраторов "UNIX and Linux System Administration Handbook, © 2018 Pearson Education lnc." описывается такой метод настройки систем: "Копируй, вставляй, молись". Какой бы ни была подробной инструкция и на какой бы типовой системе она ни составлялась, всегда что-то может пойти не так. В этой публикации рассмотрим, как искать и устранять ошибки авторизации ОС сервером 1С на базе linux.

 

Дай человеку рыбу, и он будет сыт один день.
Дай человеку леща, и он пойдет на работу.
вероятно не © Лао-цзы

 

Отладка, как для программистов, так и для системных администраторов, занимает значительно большую часть времени, чем самая тщательная первичная настройка систем.

Все течет, все меняется. Темные силы электричества готовы обрушить работу любого проекта, особенно если он никогда и не работал.

Поэтому сразу надо понимать как, где и с помощью чего, искать баги.


Все счастливые семьи похожи друг на друга,
а каждая несчастливая семья несчастлива по-своему.
© Л.Н. Толстой

В схеме с доменной авторизацией 1С будет почти по Толстому, на стороне клиента ошибки будут выглядеть одинаково - окно ввода пароля при попытке открыть базу 1С (как следствие, письмо от пользователя: "Не могу войти в 1С, пробовал все пароли, ни один не подходит"), но под капотом, мы имеем несколько точек отказа, которые могут случиться все или по отдельности, в огромном количестве комбинаций зависящих как от настроек, так и от версии платформы и ранга домена.

Исходные данные остаются прежними, в смешанном домене windows (linux & windows рабочие станции) сервер 1С на базе РедОС.

Описаны в публикации "В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Рецепты от Капитана", поэтому уберу подробности под спойлер

 

Те, кто больше любит видео, могут и сейчас посмотреть его вместо чтения статьи, желательно и то, и другое.

Аксиома: Контроллер домена, сеть и рабочие станции настроены и работают штатно.

Хорошие новости: Сеть, настроенную по инструкции из упомянутой выше публикации, достаточно сложно поломать. Когда я для написания этой публикации пробовал воспроизвести встречавшиеся в моей практике ошибки, часть из них повторить не удалось, часть удалось, но действиями, которые трудно представить в реальной жизни и требующих административных прав, например ручной установкой времени на станции клиента.



Свежая платформа 1С также более лояльно относится например к различиям в KVNO.

Грешил сначала на то, что работаю под лицензиями разработчика, но потом добрые люди дали на выходные штатную лицензию и все осталось точно так же.

Раз уж вспомнились добрые люди... Если у кого будет возможность на несколько дней (выходные) дать лицензии уровня КОРП или попросить временные у 1С, то получится написать статью об отказоустойчивом кластере.

Лицензии разработчика не дают его собрать. 

Конфиденциальность гарантирую или наоборот, могу упомянуть в разделе "Благодарности"
 

Методика расследования:

Не буду употреблять иностранных слов и заменю модное "дихотомия" на "танцуем от печки".
(тем более, что дихотомия, это зачастую не тот процесс, за который его выдают искатели ошибок).

В любом случае, первое с чем надо определиться, это задать себе и ответить на несколько вопросов:

  • ошибка возникает у всех пользователей и во всех базах всех серверов 1С (если вы при этом еще видите бегущих сисадминов с горящими вырезано цензурой глазами, то возможно весь домен устал и надо просто подождать) или у одного (нескольких).
  • ошибка возникает во всех типах клиентов 1С сервера 1С или только в веб. За исключением одного случая, если авторизация не работает в тонком клиенте, в веб она тоже не заработает
  • ошибка возникает во всех базах, размещенных на сервере 1С, или в одной (нескольких)
  • немаловажный вопрос: работало ли все изначально и сломалось или не работало никогда

Первые действия в расследовании, это выполнить в консоли:

  1. timedatectl status (или та система с помощью которой вы синхронизируете время с контроллером домена) проверяем что работает
  2. nslookup dc.test.loc проверяем что видится контроллер домена
  3. id usr1cv83 проверяем что отрабатываются запросы в домене
  4. kinit usr1cv83 получаем тикет Kerberos интерактивно
  5. klist -e -k -t /1c/usr1cv83.keytab и hostname сверяемся, что файл существует, корректен и имена служб в нем выданы для настраиваемого сервера
  6. kinit -k -t /1c/usr1cv83.keytab usr1cv83@TEST.LOC получаем тикет Kerberos используя файл keytab

 


Все эти команды должны отработать без ошибок, при наличии сообщений об ошибках здесь, двигаться дальше и переходить к настройкам 1С нет смысла.

Если при первом взгляде все выглядит пристойно, углубиться в расследование помогут журналы:

  • технологический журнал 1С с мониторингом событий CONN и EXCP, можно отдельно посмотреть VRSREQUEST и VRSRESPONSE, но в случае веб-клиента, по сути это будет дубль логов apache.
     

     <?xml version="1.0" encoding="UTF-8"?>
    <config xmlns="http://v8.1c.ru/v8/tech-log">
     <log location="\1c\tg" history="2">
      <event> 
       <eq property="Name" value="CONN"/>
      </event>
      <event> 
       <eq property="Name" value="EXCP"/>
      </event>
      <property name="all"/>
     </log>
    </config>

    На время первичной наладки системы такой ТЖ желательно иметь под рукой.
  • регистрации apache, если расследуется ошибка на веб-клиенте. Настроен по умолчанию и находится в /var/log/httpd. Если запросы идут по протоколу http, то это файлы access_log error_log и ssl_access_log ssl_error_log если используется https.

 

 

Ошибки, связанные с единичными пользователями

  • Ошибка в имени пользователя или некорректно составленное имя пользователя домена.

Если имя пользователя обычно выбирают из выпадающего списка и в нем ошибиться трудно, то имени домена будет два как минимум короткое TEST и длинное TEST.LOC в нашем случае. Я видел варианты настройки систем, где они не взаимозаменяемы. В технологическом журнале 1С вы увидите с каким именем пытается авторизоваться пользователь.


 

  • Расхождение во времени с контроллером домена на клиенте

В технологическом журнале будет выглядеть clock skew too great (или похожие со словом clock/время)
Если настроен веб-сервер, то надо пробовать веб-клиент, в нем ошибки не будет.

  • Не работает авторизация в браузере

Браузеры, кроме Edge, нуждаются в дополнительной настройке для доменной авторизации.
Проще всего проверить попробовав подключиться клиентом 1С в режиме веб-клиента.

Ошибки связанные со всеми пользователями и во всех типах клиентов ведут на сервер 1С (веб-сервер)

  • Расхождение во времени с контроллером домена или его недоступность на сервере 1С.

Это первые две вещи, которые стоит проверить, попав в консоль сервера, до просмотра всех журналов.
В стабильном продуктовом контуре их вероятность не велика, но в тестовом наиболее вероятна.

  • Не отключенный/не настроенный Selinux

Порождает загадочные ошибки, поэтому тоже до просмотра журналов желательно отключить Selinux, хотя бы и в тестовых целях.

  • Некорректный/отсутствующий/недоступный файл keytab

В технологическом журнале будет выглядеть как "Ошибка доступа к файлу" или "Unsupported key table format"
Если настроен веб-сервер, то аналогично в логах ahache.
Если файл присутствует, мы же его видели на шаге предпроверки, то надо проверить права доступа и владельца.

  • Отсутствие в файл keytab записи для службы 1С (службы веб-сервера)

В технологическом журнале будет выглядеть как "Не найдена запись в файле для ..."

Если настроен веб-сервер, то аналогично в логах ahache.

Как вариант, запись в файле может присутствовать, но не будет для нее записи SPN.

Также на шаге предпроверки мы эту ошибку должны были поймать.


 

Ошибки связанные со всеми пользователями, только в веб клиенте

  • Ошибки возникают в одной (нескольких) базах, в других все работает.

Очевидно, это связано с файлом публикации информационной базы. Как вариант поменять строку соединения в рабочем файле публикации или наоборот из рабочей публикации скопировать в нерабочую строки относящиеся к авторизации kerberos.

  • Знаменитая ошибка 402 Payment Required

Связана с тем, что в свойствах учетных записей пользователя под которым запускается служба 1С и для компьютера на котором она работает не настроено делегирование kerberos.


 

  • Некорректный/отсутствующий/недоступный файл keytab или смена KVNO пользователя

Веб-сервер, в этом отношении более категоричен, чем актуальные редакции платформы 1С, для него смена KVNO это повод отказать в доступе.


 

Конечно, вариаций ошибок может быть и больше. Напишите пожалуйста в комментариях, какие встречались вам.

По поводу предложений настроить вам сеть под ключ.

Спасибо всем, кто отписался. По моему убеждению настраивать/пробовать настроить сеть должен тот, кто будет в ней жить.

А вот если у вас что-то не получается/не получилось или есть задачи категории 1С:Эксперта, которые можно выполнять за пределами рабочего времени, то вы знаете где меня искать.

Благодарности:

Благодарю компанию ©Serverspace за предоставленное оборудование, без поддержки собрать такой пингвинариум мне было бы негде.

Итог и планы на будущее:

Так вот не торопясь мы после настройки персонального рабочего места на РедОС 7.3, посмотрели РедОС 8 и почти полностью собрали рабочую сеть 1С на отечественной ОС подходящую для работы среднего размера компании.

С веб-серверами, доменной авторизацией и прочая прочая...

Осталось настроить регулярное архивирование, чтобы не потерять нажитое, к нему и перейдем в следующей публикации, если все пойдет по плану.

Если найдутся серверные лицензии 1С, то есть достаточно свежее решение по построению отказоустройчивого кластера. Гораздо красивее, чем предлагаемое в ИТС (по крайней мере по скорости).

В итоге получится мини-курс Импортозамещение ОС в контексте 1С Предприятие. Жалко, что коллеги из Яндекса не взялись помочь оформить его именно как курс.

Статья продолжает серию публикаций:

Серия "Рецепты от Капитана" на всякий случай

См. также

Интеграция 1С с облаком S3 (Amazon, Yandex Object Storage, Ceph Object Gateway S3, MinIO и др.)

Облачные сервисы, хостинг Программист 8.3.14 Конфигурации 1cv8 Россия Платные (руб)

Готовое решение по интеграции 1С с хранилищем S3 (Amazon, Yandex Object Storage, Ceph Object Gateway S3, MinIO и любое совместимое объектное хранилище). Решение даёт возможность осуществлять как основные операции (получить список, закачать, скачать, удалить и т.д.), так и расширенные (работа с бакетами, генерация ссылок, работа с правами и т.д.) с объектным хранилищем S3 прямо из 1С.

31200 руб.

27.04.2021    18929    24    70    

39

Виртуальная АТС Ростелеком - интеграция с 1С

Телефония, SIP Облачные сервисы, хостинг Пользователь Платформа 1С v8.3 Конфигурации 1cv8 Управленческий учет Платные (руб)

Продукт интеграции возможностей Виртуальной АТС Ростелеком в систему 1С Предприятие 8. Звонки прямо из программы 1С, уведомления о текущих звонках, регистрация пропущенных и завершенных вызовов, динамическая маршрутизация входящих звонков, ведение журнала, анализ использования связи.

12000 руб.

04.02.2021    19617    22    0    

26

(Видео) Установка 1С + PostgreSQL на Linux Ubuntu за 5 минут

Сервера Linux Системный администратор Россия Бесплатно (free)

Тема Ubuntu, PostgreSQL и 1С уже избитая. Но все же, следуя инструкциям всех мануалов, пришлось потратить около 3-х дней. И как результат — готовые скрипты для установки сервера 1С и PostgreSQL на свежей Ubuntu за 5 минут.

14.06.2024    825    user1389975    10    

23

В облако на работу: Архивирование postgres. Дайте два

Облачные сервисы, хостинг Linux Системный администратор Программист Платформа 1С v8.3 Бесплатно (free)

В прошлых публикациях мы, не торопясь, после настройки персонального рабочего места на РедОС 7.3, посмотрели РедОС 8 и почти полностью собрали рабочую сеть 1С на отечественной ОС подходящую для работы среднего размера компании. С веб-серверами, доменной авторизацией и прочая прочая... Осталось настроить регулярное архивирование, чтобы не потерять нажитое.

27.05.2024    804    capitan    6    

9

Жизнь программиста 1С на Линукс, это возможно?

О жизни Linux Системный администратор Программист Платформа 1С v8.3 Россия Бесплатно (free)

Использование Linux в качестве основной ОС для программиста 1С, возможно ли это? Решил поделиться личным опытом работы перехода на эту систему. В статье моя история без технических деталей максимально простым языком. И, спойлер, да, жизнь на Линуксе для разработчика 1С возможна и с каждым годом становится всё комфортней. Статья рассчитана на людей, с Линуксом не знакомых, специалистов прошу не кидаться помидорами.

16.05.2024    3627    soulner    32    

38

В облако на работу: Все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Рецепты от Капитана

Облачные сервисы, хостинг Linux Системный администратор Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

В публикации рассматриваются все варианты авторизации ОС сервером 1С на базе РЕД ОС 8 в домене windows. Как случаи, когда сервер 1С авторизирует веб и обычных клиентов 1С в active directory, так и когда сам сервер является клиентом, например при HTTP запросах выполняемых сервером 1С.

18.03.2024    872    capitan    0    

9

Готовое облако или выделенный сервер? Экономика владения 1С

Облачные сервисы, хостинг Бесплатно (free)

Если вы работаете с 1С, то, скорее всего, используете для этого собственный сервер. Это решение дает больше гибкости: железо всегда под рукой, в любой момент можно поменять конфигурацию или установить дополнительное ПО. Например, чтобы организовать бухгалтеру удаленный рабочий стол. Но насколько этот вариант экономически выгоден для компании? Мы сравнили три варианта развертывания 1С: на собственном сервере, на арендованном в Selectel и в готовом облаке. Какие есть преимущества и недостатки у каждого варианта и что выгоднее — разбираем в статье.

13.03.2024    758    doctor_it    6    

0

Три пингвина под окном… Точки над Ё. Обзор рабочих мест пользователя 1С, собранных на отечественных дистрибутивах linux

Облачные сервисы, хостинг Linux Платформа 1С v8.3 Конфигурации 1cv8 Бесплатно (free)

Прошлая публикация "Три пингвина под окном… Обзор рабочих мест пользователя 1С, собранных на отечественных дистрибутивах linux" набрала более 20К просмотров. В моем случае это абсолютный рекорд. Как и обещал в ней, рассказываю, как установить неподдерживаемый дистрибутив ОС у облачного провайдера.

25.02.2024    2486    capitan    0    

7
Оставьте свое сообщение